Theo chuẩn RFC 1918, Địa chỉ IP Private được mô tả với mục đích sử dụng trong nội bộ 1 site hay một tổ chức Địa chỉ IP private là địa chỉ không định tuyến được trên mạng internet, tr
Trang 1© 2008 Cisco Systems, Inc All rights reserved Cisco Confidential
NAT
Quản trị mạng cơ bản
Trang 2Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 2
Trang 3© 2008 Cisco Systems, Inc All rights reserved Cisco Confidential
Trang 4Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 4
Dải địa chỉ IP private
Không gian địa chỉ IPv4 đã không đủ để cung cấp cho tất cả các thiết bị kết nối tới internet.
Theo chuẩn RFC 1918, Địa chỉ IP Private được mô tả với mục đích sử dụng trong nội bộ 1 site hay một tổ chức
Địa chỉ IP private là địa chỉ không định tuyến được trên mạng internet, trong khi đó thì IP public lại có thể định tuyến
Trang 5Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 5
Thuộc tính của NAT
Dải địa chỉ IP private
Trang 6Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 6
Dải địa chỉ IP private
NAT là tiến trình được sử dụng để dịch địa chỉ mạng
NAT được sử dụng với vai trò khắc phục sự khan hiếm IP public
NAT được sử dụng một cách độc lập ở những thiết bị biên của hệ thống mạng, như là firewall hay router
NAT cho phép hệ thống mạng nội bộ hoạt động bình thường (không chuyển đổi IP) và chỉ thực hiện chuyển đổi khi cần thiết.
Các thiết bị trong mạng nội bộ vẫn có thể sử dụng địa chỉ private như một địa chỉ duy nhất trong hệ thống mạng đó
Khi cần thiết lập kết nối từ bên trong mạng ra ngoài internet, router biên sẽ thực hiện quá trình NAT để chuyển đổi IP private thành IP public đảm bảo tính duy nhất trong hệ thống mạng internet
Trang 7Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 7
Thuộc tính của NAT
NAT là gì ?(cont.)
Trang 8Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 8
Thuật ngữ NAT
Inside network ám chỉ vùng mạng sử dụng địa chỉ
Private
Outside là phần còn lại
NAT bao gồm 4 loại bản tin:
• Inside local address
• Inside global address
• Outside local address
• Outside global address
Trang 9Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 9
NAT Characteristics
NAT Terminology (cont.)
Trang 10Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 10
NAT Tĩnh
NAT tĩnh sử dụng để tạo ánh xạ 1 – 1 giữa địa chỉ cục bộ (private) và địa chỉ toàn cục (public)
Ánh xạ đó được cấu hình bởi quản trị viên và sẽ tồn tại vĩnh viễn
Static NAT thông thường được sử dụng trong các trường hợp muốn quảng bá 1 server bên trong
ra ngoài mạng internet (publish server)
Quản trị viên có thể sử dụng giao thức SSH để giao tiếp với server bên trong mạng
Trang 11Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 11
Types of NAT
Static NAT (cont.)
Trang 12Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 12
Trang 13Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 13
Types of NAT
NAT động(cont.)
Trang 14Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 14
Dịch địa chỉ PORT
PAT (dịch địa chỉ port) có thể ánh xạ nhiều địa chỉ IP private với 1 hoặc một vài địa chỉ public cùng một lúc
PAT sử dụng cặp Port nguồn và IP nguồn để phân biệt các luồng lưu lượng di truyển qua thiết bị với cùng 1 IP public
Với việc sử dụng port PAT đã có thể trả thông tin về cho đúng thiết bị yêu cầu
PAT còn có tên gọi khác là NAT overload (các địa chỉ IP private có thể sử dụng đồng thời cùng một lúc 1 địa chỉ IP public)
Quá trình PAT cũng xác nhận việc gói tin đến phải là gói tin được yêu cầu, và đây cũng tăng thêm tính bảo mật cho phiên
Trang 15Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 15
Các loại NAT
So sánh NAT và PAT
NAT chuyển đổi IPv4 theo cơ chế 1:1 giữa IP private và IP public
PAT thay đổi cà địa chỉ IP và địa chỉ Port
NAT chuyển tiếp trả về bên trong mạng bằng địa chỉ nguồn của gói tin đi ra ngoài mạng
Sử dụng PAT thông thường với một hoặc một vài địa chỉ IP public
PAT còn có thể sử dụng để chuyển đổi giao thức mà không cần sử dụng tới port như ICMP Mỗi giao thức được hỗ trợ một cách khác nhau bởi PAT
Trang 16Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 16
Lợi ích của việc sử dụng NAT
Bảo tồn được lược đồ địa chỉ IP đăng ký hợp pháp
Tăng tính linh động trong kết nối với mạng public
Cung cấp tính thống nhất cho mạng nội bộ trong việc phân phối và cung cấp địa chỉ IP
Nâng cao tính bảo mật mạng (publish server)
Trang 17Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 17
Nhược điểm của NAT
Giảm hiệu năng của mạng
Mất chức năng giao tiếp end-to-end
Việc triển khai đường hầm trở lên phức tạp hơn
Các gói tin khởi tạo, bắt đầu của giao thức TCP có thể bị gián đoạn
Trang 18© 2008 Cisco Systems, Inc All rights reserved Cisco Confidential
Trang 19Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 19
Cấu hình NAT tĩnh
Trong quá trình cấu hình NAT, cần thực hiện 02 bước quan trọng sau:
Tạo ánh xạ (mapping) giữa địa chỉ cục bộ và địa chỉ toàn cục
Cần xác định rõ, interface nào nằm trong vùng inside, interface nào nằm vùng outside
Trang 20Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 20
Cấu hình NAT tĩnh
Trang 21Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 21
Phân tích NAT tĩnh
Trang 22Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 22
Kiểm tra NAT tĩnh
Trang 23Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 23
Kiểm tra NAT tĩnh
Trang 24Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 24
Hoạt động của NAT động
Dải mạng public (dải inside global) sẽ sẵn sàng cho các thiết bị bên trong có thể sử dụng ra bên ngoài theo cơ chế
first-come, first-served.
Với NAT động, một địa chỉ bên trong được chuyển đổi thành 1 địa chỉ bên ngoài.
Dải public (public pool) cần phải đủ lớn để đáp ứng đủ số thiết bị bên trong mạng Trong trường hợp dải public
không còn IP nào sẵn sàng, thiết bị bên trong sẽ không thể giao tiếp ra mạng ngoài
Trang 25Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 25
Configuring Dynamic NAT
Cấu hình NAT động
Trang 26Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 26
Phân tích NAT động
Trang 27Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 27
Configuring Dynamic NAT
Phân tích NAT động
Trang 28Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 28
Kiểm tra NAT động
Trang 29Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 29
Configuring Dynamic NAT
Kiểm tra NAT động
Trang 30Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 30
Cấu hình PAT: address pool
Trang 31Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 31
Configuring PAT
Cấu hình PAT interface
Trang 32Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 32
Phân tích PAT
Trang 33Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 33
Configuring PAT
Phân tích PAT
Trang 34Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 34
Phân tích PAT
Trang 35Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 35
Port Forwarding
Port Forwarding
Port forwarding là quá trình chuyển đổi port từ một nút mạng này sang mạng khác
Gói tin được gửi với địa chỉ IP public và port tới router có thể được chuyển đổi sang IP và port phù hợp với mạng
inside
Port forwarding rất hữu ích khi nhiều server bên trong có các địa chỉ private khác nhau Và muốn quảng bá ra
mạng public
Trang 36Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 36
SOHO Example
Trang 37Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 37
Port Forwarding
Configuring Port Forwarding with IOS
Trong IOS, port forwarding được cấu hình giống như NAT tĩnh có sử dụng thêm các TCP, UDP port
Trang 38© 2008 Cisco Systems, Inc All rights reserved Cisco Confidential
Trang 39Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 39
Configuring NAT and IPv6
Troubleshooting NAT: show commands
Trang 40Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 40
Troubleshooting NAT: debug command
Trang 41Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 41
Chapter 5: Tổng kết
Bài này đã trình bày:
NAT được sử dụng như thế nào trong việc tiết kiệm địa chỉ IPv4
NAT for IPv4:
• Thuộc tính của NAT, thuật ngữ và nguyên tắc hoạt động cơ bản
• Các loại NAT khác nhau: NAT tĩnh, NAT động và NAT động overload( PAT)
• Lợi ích của việc sử dụng NAT
Cấu hình, kiểm tra và phân tích tiến trình NAT khác nhau
Cơ chế port forwarding hoạt động như thế nào.
Khắc phục sự cố NAT sử dụng show và debug
NAT được sử dụng như thê nào giữa IPv6 và IPv4
Trang 42Presentation_ID © 2008 Cisco Systems, Inc All rights reserved Cisco Confidential 42